Extensie voor browsers

Voor bedrijven

Prijzen

Bloggen

Documentatie

Nederlands

FunCaptcha
en CapMonster Cloud

Captcha-oplossing, installatie op de website en testen.

Heb je een site geërfd met een ingebouwde captcha of andere bescherming, maar zonder toegang tot de broncode? Dan wil je natuurlijk weten welke oplossing draait, of die goed is ingesteld en hoe je de werking test.

In dit artikel hebben we geprobeerd antwoord te geven op alle belangrijke vragen. De eerste stap bij het oplossen van het vraagstuk is vaststellen welk beveiligingssysteem wordt gebruikt. Daarvoor kun je de lijst met populaire captcha’s en anti-botbeveiligingssystemen raadplegen, met visuele voorbeelden en kernkenmerken die je helpen snel te bepalen waarmee je te maken hebt.

Als je ontdekt dat je website FunCaptcha (Arkose Labs CAPTCHA) gebruikt, is de volgende stap om de eigenschappen en werking ervan uitgebreider te bestuderen. In dit artikel vind je ook een handleiding voor het integreren van FunCaptcha (Arkose Labs CAPTCHA), zodat je volledig begrijpt hoe het systeem op je website werkt. Zo kun je niet alleen de huidige bescherming beter doorgronden, maar ook het onderhoud ervan goed plannen.

Wat is FunCaptcha

FunCaptcha is een interactief botsbeveiligingssysteem ontwikkeld door Arkose Labs. Het controleert of een gebruiker een echte persoon is via speelse en visuele uitdagingen die gemakkelijk door mensen kunnen worden opgelost, maar moeilijk te automatiseren zijn. FunCaptcha wordt gebruikt voor bescherming bij registratie, login, online betalingen, marketingcampagnes en ter voorkoming van fraude, spam en grootschalige geautomatiseerde acties.

Voorbeelden van FunCaptcha

3D-object draaien

De gebruiker draait een 3D-model of figuur om het correct te plaatsen.

Selecteren van objecten op basis van een regel

Je moet afbeeldingen of elementen selecteren die voldoen aan een opgegeven regel (bijv. 'selecteer alle appels').

Interactieve taken (drag-and-drop / volgen van een pad)

Gebruiker voert acties uit op elementen, zoals ze langs een bepaald pad slepen.

Audio-vragen

De gebruiker luistert naar audio en kiest het juiste antwoord (minder gebruikt als alternatief voor visuele taken).

Hoe FunCaptcha op te lossen via CapMonster Cloud

Bij het testen van formulieren met FunCaptcha is het vaak nodig om te controleren of de captcha correct werkt en correct is geïntegreerd.

Je kunt de captcha handmatig testen op je website.

Open de pagina met het formulier en zorg ervoor dat de captcha zichtbaar is.
Probeer het formulier te verzenden zonder de captcha op te lossen — de server moet een foutmelding geven.
Na succesvolle oplossing van de captcha — het formulier moet zonder fouten worden verzonden.

Voor automatische captcha-herkenning kun je gespecialiseerde diensten gebruiken, zoals CapMonster Cloud — een tool die de captcha-parameters verwerkt op hun servers en een kant-en-klare token terugstuurt. Deze token kan in het formulier worden geplaatst om de verificatie te doorlopen zonder tussenkomst van de gebruiker.

Werken met CapMonster Cloud via de API bestaat doorgaans uit de volgende stappen:

Taak aanmaken

In deze stap stuur je je API-sleutel, het type captcha en de parameters. De service retourneert een unieke taskId waarmee je later het resultaat kunt ophalen.

API-aanvraag versturen

In het verzoek om FunCaptcha op te lossen, moet je de volgende parameters opgeven:

type - FunCaptchaTask

websiteURL - het adres van de pagina waar de captcha wordt opgelost;

websitePublicKey - FunCaptcha-sleutel (waarde public key of pk);

data - extra parameter. Verplicht als de site data[blob] gebruikt;

funcaptchaApiJSSubdomain - Arkose Labs subdomein (waarde surl). Alleen opgeven als deze afwijkt van de standaard: client-api.arkoselabs.com

userAgent - Browser User-Agent. Geef alleen de actuele UA van Windows OS door.

Voor deze taak is het gebruik van je proxy’s vereist:

proxyType :

http - standaard HTTP/HTTPS proxy;
https - probeer dit als 'http' niet werkt (vereist voor sommige aangepaste proxy’s);
socks4 - SOCKS4-proxy;
socks5 - SOCKS5-proxy.

proxyAddress - IP-adres van de proxy IPv4/IPv6.

proxyPort - Poort van de proxy.

proxyLogin - Login van de proxyserver.

proxyPassword - Wachtwoord van de proxyserver.

Meer informatie over de parameters en hoe je die automatisch verzamelt vind je in de CapMonster Cloud documentatie.

Endpoint voor het versturen van de taak:

https://api.capmonster.cloud/createTask

Voorbeeldrequest:


{
  "clientKey": "API_KEY",
  "task": {
    "type": "FunCaptchaTask",
    "websiteURL": "https://www.example.com",
    "websitePublicKey": "EX72CCFB-26EX-40E5-91E6-85EX70BE98ED",
    "funcaptchaApiJSSubdomain": "example-api.arkoselabs.com",
    "data": "{\"blob\":\"nj9UbL+yio7goOlTQ/b64t.ayrrBnP6kPgzlKYCP/kv491lKS...Wot/7gjpyIxs7VYb0+QuRcfQ/t6bzh5pXDkOFSskA/V/ITSVZSAlglIplLcdreZ4PE8skfMU6k1Q\"}",
    "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/143.0.0.0 Safari/537.36",
    "proxyType": "http",  // Voeg de proxy toe indien nodig
    "proxyAddress": "8.8.8.8",
    "proxyPort": 8080,
    "proxyLogin": "proxyLoginHere",
    "proxyPassword": "proxyPasswordHere"
  }
}

Respons:

{
  "errorId":0,
  "taskId":407533072
}

Resultaat ontvangen

Controleer na het aanmaken van de taak regelmatig de status.

Adres voor het ontvangen van het resultaat:

https://api.capmonster.cloud/getTaskResult

Voorbeeldrequest:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Respons:


{
  "errorId": 0,
  "errorCode": null,
  "errorDescription": null,
  "solution": {
    "token": "337187b9f57678923.5060184402|r=us-west-2|lang=en|pk=EX72CCFB-26EX-40E5-91E6-85EX70BE98ED|at=40|ag=101|cdn_url=https%3A%2F%2Fclient-api.arkoselabs.com%2Fcdn%2Ffc|surl=https%3A%2F%2Fclient-api.arkoselabs.com|smurl=https%3A%2F%2Fclient-api.arkoselabs.com%2Fcdn%2Ffc%2Fassets%2Fstyle-manager",
    "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/143.0.0.0 Safari/537.36"
  },
  "status": "ready"
}

Token op de pagina plaatsen

De verkregen token kan in een verborgen veld van het formulier worden geplaatst of door een JS-functie op de site worden aangeroepen om de oplossing te bevestigen. De server accepteert het formulier vervolgens als correct ingevuld. Voor automatisering en testen is het handig om Puppeteer, Selenium of Playwright te gebruiken, die gebruikersacties kunnen emuleren, tokens kunnen invoegen en formulieren kunnen verzenden.


// npm install playwright
const { chromium } = require("playwright");

const WEBSITE_URL = "https://example.com";
// token verkregen van CapMonster Cloud
const FUN_CAPTCHA_TOKEN = "PUT_YOUR_FUN_CAPTCHA_TOKEN_HERE"; 

(async () => {
  const browser = await chromium.launch({ headless: false });
  const context = await browser.newContext();
  const page = await context.newPage();

  /**
   * Universele Arkose-interceptie (v1 / v2)
   * Uitgevoerd vóór het laden van de pagina
   */
  await page.addInitScript(() => {
    const callbacks = [];

    function captureCallback(cb, source) {
      if (typeof cb === "function") {
        callbacks.push(cb);
        console.log("[Arkose] callback captured from", source);
      }
    }

    function patchRender(obj, name) {
      if (!obj || typeof obj.render !== "function") return;

      const originalRender = obj.render;
      obj.render = function (container, options = {}) {
        captureCallback(options.callback, name + ".render");
        return originalRender.apply(this, arguments);
      };
    }

    // Interceptie via Object.defineProperty (vaak gebruikt door Arkose)
    const originalDefineProperty = Object.defineProperty;
    Object.defineProperty = function (target, prop, descriptor) {
      if (
        (prop === "FunCaptcha" || prop === "ArkoseEnforcement") &&
        descriptor &&
        typeof descriptor.value === "object"
      ) {
        patchRender(descriptor.value, prop);
      }
      return originalDefineProperty.apply(this, arguments);
    };

    // Fallback: periodieke controle van globale objecten
    const interval = setInterval(() => {
      if (window.FunCaptcha) patchRender(window.FunCaptcha, "FunCaptcha");
      if (window.ArkoseEnforcement)
        patchRender(window.ArkoseEnforcement, "ArkoseEnforcement");

      if (callbacks.length > 0) clearInterval(interval);
    }, 200);

    // Universeel punt om token door te geven
    window.__arkoseSolve = function (token) {
      if (callbacks.length > 0) {
        callbacks.forEach((cb) => cb(token));
        console.log("[Arkose] token delivered via captured callbacks");
        return true;
      }

      // Alternatieve opties
      if (typeof window.arkoseCallback === "function") {
        window.arkoseCallback(token);
        console.log("[Arkose] token delivered via arkoseCallback");
        return true;
      }

      // Fallback
      window._arkoseToken = token;
      console.log("[Arkose] token stored in window._arkoseToken");
      return false;
    };
  });

  /**
   * Pagina openen
   */
  console.log("Opening page...");
  await page.goto(WEBSITE_URL, { waitUntil: "domcontentloaded" });

  /**
   * Hier moet de site FunCaptcha initialiseren
   * (registratie, login, knop, formulier, enz.)
   */

  /**
   * Klaar token doorgeven
   */
  console.log("Injecting FunCaptcha token...");
  await page.evaluate((token) => {
    if (!window.__arkoseSolve) {
      console.log("[Arkose] solver not ready");
      return;
    }
    window.__arkoseSolve(token);
  }, FUN_CAPTCHA_TOKEN);

  /**
   * Pagina tijd geven om resultaat te verwerken
   */
  await page.waitForTimeout(5000);

  console.log("Done.");
  await browser.close();
})();

Er is ook een handige mogelijkheid om captcha-herkenning te testen via de CapMonster Cloud-browserextensie, waarmee je snel de werking van de captcha direct op de pagina kunt controleren en het oplossingsproces realtime kunt volgen zonder code te schrijven – beschikbaar voor installatie in Chrome en Firefox.

Hoe FunCaptcha aan je site te koppelen

Om de werking van de captcha op je site te begrijpen, de verificatielogica te kennen en opnieuw te koppelen of configureren, raden we aan deze sectie te bestuderen. Hierin wordt het proces van het koppelen van de bescherming beschreven, zodat je snel alle details kunt begrijpen.

Registreer bij Arkose Labs en verkrijg toegang tot Arkose Command Center (je kunt een chatbericht sturen met je gegevens in het formulier — bijvoorbeeld hier of hier).
Na toegang verkrijg je twee sleutels (Public / Private) in Settings → Keys.
Neem indien nodig contact op met de Customer Success Manager (CSM) voor:
- verkrijgen van aangepaste API-domeinen;
- verifiëren van API-aanvraag- en antwoordschema’s.

Aanbevelingen van Arkose

Gebruik de Development Key voor testen.
Gebruik een aparte Production Key voor elke workflow (login, register, aankoop, enz.).
Gebruik verschillende sleutels voor verschillende sites.

Algemeen werkproces

De client verzamelt gegevens en toont indien nodig een challenge.
De client ontvangt een eenmalige token.
De server verifieert de token via Arkose Verify API.

Stap 1. Client-integratie

Aan de browserzijde (Arkose Bot Manager):

analyseert het gedrag van de gebruiker;
toont indien nodig een Enforcement Challenge;
geeft een sessietoken terug.

Client API:

Voor testen kan worden gebruikt:
client-api.arkoselabs.com
Voor productie is het wenselijk een aangepast domein op te geven:
<company>-api.arkoselabs.com

Belangrijkste vereisten

Het Arkose-clientscript wordt slechts één keer per pagina geladen
Definieer globale callback
Roep setConfig() aan
Op basis van het resultaat wordt besloten of een actie is toegestaan of geweigerd.

Resultaat van de client — token die naar de server wordt verzonden.

Integratievoorbeeld


<html>
<head>
  <!--
    Voeg de Arkose Labs API toe in de <head> van de pagina. Zorg in het voorbeeld voor:
    - vervang <YOUR PUBLIC KEY> door de public key van Arkose Labs;
    - vervang <YOUR CALLBACK> door de naam van je globale callbackfunctie.
   Voorbeeld:
    <script src="//client-api.arkoselabs.com/v2/<YOUR PUBLIC KEY>/api.js"
            data-callback="setupDetect"></script>
  -->
  <script src="//client-api.arkoselabs.com/v2/<YOUR PUBLIC KEY>/api.js" data-callback="<YOUR CALLBACK>"></script>
  <link rel="shortcut icon" href="#">
  <meta charset="UTF-8">
</head>

<body>
  <!--
    Het trigger-element kan overal op de pagina staan en op elk moment aan het DOM worden toegevoegd.
  -->
  <button id="arkose-trigger">
    trigger-element
  </button>

  <!--
    Voor Arkose-instellingen (detectie- of enforce-modus), plaats het script voor de sluitende </body> en definieer de callback als globaal.
  -->
  <script>
    /*
      Deze globale functie wordt aangeroepen wanneer de Arkose API klaar is. De functienaam moet overeenkomen met het data-callback-attribuut van het script.
    */
    function setupArkose(myArkose) {
      myArkose.setConfig({
        selector: '#arkose-trigger',
        onCompleted: function(response) {
          // Eenmalige token die naar de server moet worden verzonden
          console.log(response.token);
        }
      });
    }
  </script>
</body>
</html>

Stap 2. Serververificatie

Op de server wordt de token geverifieerd via Arkose Verify API.

Verify API endpoint

https://<company>-verify.arkoselabs.com/api/v4/verify/

Verplichte verzoekparameters

Voorbeeld POST-body


{
  "private_key": "_PRIVATE_KEY_HERE_",
  "session_token": "_SESSION_TOKEN_HERE_",
  "log_data": "_LOG_DATA_HERE_"
}

Het API-antwoord bevat sessie-informatie en verificatieresultaten.

Belangrijke punten

Voorbeeld serververificatie in PHP:


<?php
$private_key = 'YOUR_PRIVATE_KEY';
$verify_url = 'https://<company>-verify.arkoselabs.com/api/v4/verify/';

$input = json_decode(file_get_contents('php://input'), true);
$session_token = $input['session_token'] ?? null;
$log_data = $input['log_data'] ?? '';
$email_address = $input['email_address'] ?? '';

if (!$session_token) {
    http_response_code(400);
    echo json_encode(['error' => 'Sessietoken ontbreekt']);
    exit;
}

$data = [
    'private_key' => $private_key,
    'session_token' => $session_token,
    'log_data' => $log_data,
    'email_address' => $email_address
];

$options = [
    'http' => [
        'header'  => "Content-Type: application/json\r\n",
        'method'  => 'POST',
        'content' => json_encode($data),
    ],
];

$context  = stream_context_create($options);
$result = file_get_contents($verify_url, false, $context);

if ($result === FALSE) {
    http_response_code(500);
    echo json_encode(['error' => 'Fout bij captcha-verificatie']);
    exit;
}

echo $result;
?>

Hoe het werkt:

Meer informatie over FunCaptcha-integratie vind je in de officiële documentatie.

Mogelijke fouten en debugging

Onjuiste aanvraagparameters

Zorg dat je de juiste Public Key voor de client en Private Key voor de server gebruikt, en de juiste session_token naar de Verify API stuurt.

Lege of onjuiste session_token

De server ontvangt een leeg resultaat of foutmelding. Controleer of de client de token correct verstuurt na het voltooien van de captcha.

Oplossingstime-out

Als de gebruiker de verificatie niet op tijd voltooit, kan de Arkose-server een fout retourneren of verificatie weigeren. Verhoog de toegestane wachttijd aan serverzijde.

Controle van de robuustheid

Probeer een verzoek te verzenden zonder session_token — de serververificatie moet een fout teruggeven en het verzoek weigeren.

Voer stresstests uit (bijv. via k6 of JMeter) met 100–200+ req/sec — captcha moet correct initialiseren en backend moet verificaties stabiel verwerken.

Controleer werking bij verlopen token (session_token) — server moet fout teruggeven en verificatie weigeren.

Controleer hergebruik van dezelfde token — verwacht antwoord: verificatie geweigerd.

Aanbevelingen voor veiligheid en optimalisatie

<b>Bewaar Private Key alleen op de server</b>, niet in de client-side JS code.

Bewaar Private Key alleen op de server, niet in de client-side JS code.

Log volledige antwoorden van Arkose Verify API, inclusief verificatiestatus, foutcode en verzonden parameters — dit helpt bij snelle probleemdiagnose.

Log volledige antwoorden van Arkose Verify API, inclusief verificatiestatus, foutcode en verzonden parameters — dit helpt bij snelle probleemdiagnose.

Gebruik <b>HTTPS</b> voor alle verzoeken (client → server → Verify API) om datamanipulatie te voorkomen.

Gebruik HTTPS voor alle verzoeken (client → server → Verify API) om datamanipulatie te voorkomen.

Plaats op de site links naar <b>Privacybeleid</b> en <b>Arkose Labs Gebruiksvoorwaarden</b>, zoals vereist door de licentie.

Plaats op de site links naar Privacybeleid en Arkose Labs Gebruiksvoorwaarden, zoals vereist door de licentie.

Conclusie

Als je een website in beheer krijgt waarop al een captcha of een ander beveiligingssysteem is geïnstalleerd en je geen toegang hebt tot de code, is dat geen probleem! Het is vrij eenvoudig te bepalen welke technologie precies wordt gebruikt. Voor het controleren of alles correct werkt, kun je de herkenningsservice CapMonster Cloud in een geïsoleerde testomgeving gebruiken, zodat je zeker weet dat het tokenverwerkingsmechanisme en de validatielogica correct functioneren.

In het geval van FunCaptcha is het voldoende om het systeem te herkennen, het gedrag te analyseren en te bevestigen dat de beveiliging correct werkt. In het artikel hebben we laten zien hoe je FunCaptcha kunt herkennen en waar je instructies vindt om het te koppelen of opnieuw te configureren, zodat je de bescherming met vertrouwen kunt onderhouden en de werking onder controle kunt houden.

Handige links

FunCaptcha-documentatie (Arkose Labs CAPTCHA) →

Formulier voor aanvraag van FunCaptcha-koppeling →

CapMonster Cloud-documentatie (werken met FunCaptcha) →

De CapMonster Cloud browserextensie is beschikbaar voor Chrome en Firefox. Een volledige gebruikshandleiding vind je hier.

FunCaptcha en CapMonster Cloud

Hoe FunCaptcha op te lossen via CapMonster Cloud

FunCaptcha
en CapMonster Cloud